[Warning] Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates verfügbar

Alexander Riepl riepl at cert.at
Thu May 16 14:49:00 CEST 2019 

Kritische Schwachstelle in Microsoft Remote Desktop Services - Updates
verfügbar

   16. Mai 2019

Beschreibung

   Microsoft hat als Teil des "Patch Tuesday" ein Update für eine
   Schwachstelle in "Remote Desktop Services" veröffentlicht. Diese
   Schwachstelle ermöglicht es einem Angreifer, durch eine speziell
   präparierte Anfrage Codeausführung zu erreichen.

Details

   Das Ausnützen der Sicherheitslücken ermöglicht einem Angreifer die
   Ausführung von Code im Kontext des Benutzers des RDP-Servers. Dafür ist
   keine Authorisierung oder sonstige Benutzerinteraktion notwendig, die
   Erreichbarkeit des Systems im Netzwerk ist ausreichend.

   Bis jetzt ist keine Ausnutzung der Schwachstelle "in the wild" bekannt,
   aufgrund der öffentlichen Verfügbarkeit von Proof-of-Concept Code ist
   jedoch davon auszugehen, dass sich dies bald ändern wird. Aufgrund der
   Natur der Lücke besteht die Gefahr, dass Schadsoftware sich durch sie
   "wurmartig" verbreiten kann.

Auswirkungen

   Durch Ausnützen der kritischen Lücke kann ein Angreifer laut Microsoft
   beliebigen Code auf betroffenen Systemen ausführen (mit den Rechten des
   angemeldeten Benutzers). Damit sind alle Daten auf diesen Systemen,
   sowie alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten
   und Systeme gefärdet.

Betroffene Systeme

   Systeme mit folgenden Versionen von Microsoft Windows:
     * Windows XP, Windows 7 (in allen Varianten)
     * Windows Server 2003, 2008 und 2008R2

Abhilfe

   Einspielen der Patches gemäss der jeweiligen Prozesse bzw. Policies.
   Die Patches sind auch für Versionen von Windows verfügbar, die
   ansonsten bereits EoL sind.

   Falls dies nicht möglich sein sollte erwähnt Microsoft die folgenden
   Workarounds:
     * Aktivierung von "Network Level Authentication (NLA)" auf Systemen,
       die dies unterstützen
     * Blocken von TCP-Traffic auf Port 3389 auf der externen Firewall

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Advisory von Microsoft (englisch)
   [1]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/C
   VE-2019-0708

References

   1.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20190516/2cf14d47/attachment.sig>

More information about the Warning mailing list